Samba как PDC + winbind = ошибки

0

0

Пытаюсь запустить Samba в качестве PDC + winbind - ошибки

Есть FreeBSD 6.2 и Samba 3.0.23c_2,1. из пакета (samba-3.0.23c_2,1.tbz)

Дальше все что делал по порядку

smb.conf
[global]

workgroup = sambadomain
server string = Samba PDC
netbios name = samba
security = user
encrypt passwords = Yes
preferred master = yes
domain master = yes
domain logons = yes
os level = 255
idmap uid = 10000-20000
idmap gid = 10000-20000
admin users = root @ntadmins
logon script = startup.bat
logon drive = Z:
logon path =
log file = /var/log/samba/samba.%m
log level = 4
dos charset = CP866
unix charset = KOI8-R

add machine script = /usr/local/etc/samba/scripts/add_machine.sh "%u"
add user script = /usr/local/etc/samba/scripts/add_user.sh "%u"
delete user script = /usr/local/etc/samba/scripts/del_user.sh "%u"
add group script = /usr/local/etc/samba/scripts/add_group.sh "%g"
delete group script = /usr/local/etc/samba/scripts/del_group.sh "%g"
set primary group script = /usr/local/etc/samba/scripts/set_primgroup.sh "%u" "%g"
add user to group script = /usr/local/etc/samba/scripts/add_usertogroup.sh "%u" "%g"
delete user from group script = /usr/local/etc/samba/scripts/del_userfromgroup.sh "%u" "%g"
message command = mail -s 'SAMBA message from %f on %m' root < %s; rm %s

[netlogon]
comment = Network Logon Service
path = /usr/local/etc/samba/netlogon/%a
writable = yes
browsable = no

[public]
comment = Public folder
path = /home/samba/public
public = yes
writable = yes

[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0644
--

pw groupadd ntadmins
pw groupadd ntusers
pw groupadd ntcomputers

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=ntusers rid=513 type=d
net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d
net groupmap add ntgroup="Domain Computers" unixgroup=ntcomputers type=d

net groupmap list

>Domain Users (S-1-5-21-3341541703-2401096919-2723899071-513) -> ntusers
>Domain Computers (S-1-5-21-3341541703-2401096919-2723899071-3009) -> >ntcomputers
>Administrators (S-1-5-32-544) -> 10000
>Domain Admins (S-1-5-21-3341541703-2401096919-2723899071-512) -> ntadmins
>Domain Guests (S-1-5-21-3341541703-2401096919-2723899071-514) -> nobody
>Users (S-1-5-32-545) -> 10001

pw useradd samba$
smbpasswd -a –m samba$

pw useradd ntadmin -g ntadmins -d /dev/null -s /sbin/nologin -c 'NT admin'
smbpasswd -a ntadmin

После этого PDC запускается, машины и юзера добавляются из USRMGR, групповые политики запускаются и как бы все OK

-------------------

Дальше хочется привинтить winbind и начинаются непонятности.

В samba.conf добавляю
[global]
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = +
winbind cache time = 10
winbind enum users = yes
winbind enum groups = yes

samba restart

wbinfo –p OK
wbinfo –t OK
wbinfo –g
>BUILTIN+administrator
>BUILTIN+users

ДОМЕННЫХ ГРУПП НЕТУ :(

\var\log\samba\samba.winbindd
[2007/03/09 18:05:40, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(474)
[ 0]: request interface version
[2007/03/09 18:05:40, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(507)
[ 0]: request location of privileged pipe
[2007/03/09 18:05:40, 3] nsswitch/winbindd_group.c:winbindd_list_groups(881)
[ 0]: list groups
[2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: BUILTIN or local domain; enumerating local groups as well
[2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(588)
get_sam_group_entries: Returned 2 local groups
[2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: BUILTIN or local domain; enumerating local groups as well
[2007/03/09 18:05:40, 3] nsswitch/winbindd_group.c:get_sam_group_entries(584)
get_sam_group_entries: Failed to enumerate domain local groups!

wbinfo –u
>Error looking up domain users – подозреваю, что по той же причине что и с доменными группами

При добавлении в nsswitch
passwd: files winbind
group: files winbind
разницы особой нет кроме большой паузы.
---------------------

О такой проблеме народ в сети пишет, но какого-то четкого решения я не увидел.
Вроде ничего особого не делаю, все по докам...

Буду признателен за помощь и тыканье носом :\

Ссылка

←	reiserfs recovery tool

Мониторинг сети

→

Четкого решения нет, потому что его нет в принципе.

На PDC/BDC локально wbinfo -U и wbinfo -G никогда не отрабатываются. Этому багу уже наверное больше лет чем мне.

Однако то, что они не отрабатываются, не говорит о том,
что winbind не работает.

~~zgen~~ ★★★★★
(12.03.07 15:10:31 MSK)

Ответ на: комментарий от zgen 12.03.07 15:10:31 MSK

Запустил клиента на другой машине,
wbinfo -u -g, pam - все замечательно.

>Четкого решения нет, потому что его нет в принципе.
>На PDC/BDC локально wbinfo -U и wbinfo -G никогда не отрабатываются. >Этому багу уже наверное больше лет чем мне.
>Однако то, что они не отрабатываются, не говорит о том,
>что winbind не работает.

Допустим.
Тогда, как я понимаю, все что я делал на доменной машине должно отработать на машине с PDC за исключением wbinfo -u -g

Когда я прописываю в PDC nsswitch
passwd: files winbind
group: files winbind
любые обращения к winbindd начинают виснуть.

net join заявляет NT_STATUS_IO_TIMEOUT
В логах то что я писал выше - Failed to enumerate domain local groups

Выключение winbindd сопровождается также огромным таймаутом
Waiting for PIDS: 2237, 2237, 2237, 2237 .......

Все-таки работает или нет Winbind на машине с PDC.
Затевалось все это ради единых паролей в PAM а тут такая засада.

lta
(13.03.07 15:39:17 MSK) автор топика

Ответ на: комментарий от lta 13.03.07 15:39:17 MSK

1. Я крайне рекомендую использовать backend'ом для пользователей LDAP
Это избавит вас от необходимости использовать winbind. (хотя я его использую для авторизации на proxy)

2. net join с какой то версии требует ХОСТ и ПОЛЬЗОВАТЕЛЯ. Иначе тайм-ауты.

~~zgen~~ ★★★★★
(18.03.07 00:41:40 MSK)